[ルーティングとリモート アクセス」サービスと SSTP を実行している Windows Server 2008 ベースのコンピューターにコンピューター証明書を変更する方法

文書翻訳 文書翻訳
文書番号: 947027
ベータ版情報
この資料では、マイクロソフト製品のベータ版について説明します。この資料の情報として提供されています- あり予告なしに変更されます。

このベータ版製品はマイクロソフトから利用可能な製品の正式なサポートはありません。ベータ リリースに対するサポートを入手する方法の詳細については、ベータ製品ファイルが含まれているマニュアルを参照してくださいまたはリリースをダウンロードした Web の場所を確認します。
重要です レジストリを変更する方法についての情報を掲載しています。これを変更する前にレジストリのバックアップを作成することを確認してください。問題が発生した場合にレジストリを復元する方法を知っていることを確認してください。バックアップ、復元、およびレジストリを変更する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows XP と Windows Vista のレジストリを復元する方法
すべて展開する | すべて折りたたむ

目次

概要

ここは、「ルーティングとリモート アクセス」サービスとセキュリティで保護されたソケットのトンネリング プロトコル (SSTP) を実行している Windows Server 2008 ベース コンピューターにコンピューター証明書を変更する方法について説明します。コンピューター証明書はコンピューター証明書とも呼ばれます。

はじめに

セキュリティで保護されたソケット トンネリング プロトコル (SSTP) は、Windows Server 2008 で [ルーティングとリモート Access Services"役割で利用可能なプロトコルのトンネリングは、新しい仮想プライベート ネットワーク (VPN) です。プロトコルは Windows Vista Service Pack 1 (SP1) で使用可能です。

SSTP は、トラフィックがファイアウォールを経由して PPTP をブロックする可能性があります Web プロキシを介して、L2TP over IPsec トラフィックを渡す TCP ポート 443 の HTTPS プロトコルを使用します。SSTP は、HTTPS プロトコルをセキュリティで保護されたソケット レイヤー (SSL) チャネルで PPP トラフィックをカプセル化するための機構が用意されています。

詳細

Windows Server 2008 で [ルーティングとリモート アクセス] サービスは、HTTPS 接続を受け付けるように、HTTP.sys ファイルの (コンピューター ストアとも呼ばれます) の証明書ストアからコンピューター証明書を構成します。このコンピューターの証明書は、セキュリティで保護されたソケット レイヤー (SSL) のネゴシエーション フェーズ中に、クライアントにも送信されます。

管理者は、コンピューター証明書が既にインストールされているし、[ルーティングとリモート アクセス] サービスを構成した場合は、「ルーティングとリモート アクセス」サービスを再構成することなく、コンピューターの証明書を変更できます。この資料では、コンピューター証明書を変更する方法について説明します。

バック グラウンドのコンポーネント

このシナリオでは、3 つのコンポーネントがあります。
  • コンピューター証明書を証明書ストアの [コンピューター アカウント] 領域でのインストール
  • HTTP.sys ファイル

    メモ このファイルは、HTTPS の VPN 接続を終了は、HTTPS リスナー コンポーネントです。HTTP.sys は、コンピューター証明書を使用するを指定します。

    コンピューターの証明書情報を表示するには、コマンド プロンプトで次のコマンドを入力します。
    netsh の http ショー sslcert
  • HTTP.sys を実行する [ルーティングとリモート アクセス」サーバー

    メモ サーバーはその暗号バインディング検証フェーズのコンピューター証明書の証明書ハッシュを使用します。これは、PPP クライアントと SSL クライアントの両方が同じコンピューターからのものであることを確認するために、余分なセキュリティ手順です。

コンピューター証明書を変更する方法

コンピューター証明書を変更するには、VPN サーバーで以下の手順を実行します。
  1. コンピューター証明書が VPN 接続用に構成されているを確認します。これを行うには、次の手順を実行します。
    1. HTTP.sys で使用される SSL 証明書のバインドを確認します。これを行うには、コマンド プロンプトで次のコマンドを入力します。
      netsh の http ショー sslcert
    2. 次のアプリケーション ID が表示されていることを確認します。
      {ba195980-cd49-458b-9e23-c84ee0adcd75}
      このバインドは、SSTP ベース「ルーティングとリモート アクセス」サーバーによって追加されます。
    コマンドは 0.0.0.0:443 実質リスナーにバインドされている証明書と [::] にバインドされている証明書が表示されます: 実質の 443 リスナー。証明書が実際にバインドされている証明書のハッシュ値を指定します。この値は、証明書の SHA1 証明書ハッシュです。
  2. 証明書ストアから証明書を削除します。これを行うは、新しい Microsoft 管理コンソール (MMC) を作成し、証明書スナップインを追加します。これを行うには、次の手順を実行します。
    1. クリックしてください。 開始、し 実行.
    2. 種類 MMC。EXE、し [OK].
    3. で、 ファイル メニューをクリックして 追加またはスナップインの削除.
    4. 選択 証明書、し 追加.
    5. 選択、 コンピューター アカウント オプション、し、 次へ.
    6. 選択 ローカル コンピューター、し 終了日.
    7. クリックしてください。 [OK].
  3. 展開 [証明書 (ローカル コンピューター)、し 証明書.ストア内の証明書の一覧の詳細ペインで表示されます。
  4. SSTP リスナーへのバインドに使用する証明書をダブルクリックします。これは、クライアントの VPN 接続で使用されるホスト名と一致するサブジェクト名を持つ証明書です。
  5. クリックして、 詳細情報 タブします。で、 スライド ショー ボックスで、確認してください。 すべて 選択されています。
  6. いることを確認の値は、 拇印アルゴリズム フィールドします。 sha1.
  7. 値に注意してください、 拇印 フィールドです。この値は実行時に表示された証明書のハッシュ値を比較する、 netsh コマンドです。

    値が一致する必要があります。これは、正しい証明書がリスナーにバインドされていることを示します。証明書を右クリックしをクリックしてください 削除.
  8. 新しい証明書を証明書ストアに追加します。
  9. HTTP.sys から証明書を削除します。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    netsh http delete sslcert ipport 0.0.0.0:443 =
    netsh http delete sslcert ipport = [::]: 443
    メモ これらのコマンドを実行するには、管理者特権を使用して、コマンド プロンプトを開く必要があります。これを行うをクリックしてください。 開始を右クリックして コマンド プロンプト、し 管理者として実行します。.
  10. HTTP.sys には、新しい証明書を追加します。

    これを行うには、コマンド プロンプトで次のコマンドを入力します。
    netsh の http の追加 sslcert ipport 0.0.0.0:443 certhash = =xxx appid {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    netsh の http の追加 sslcert ipport = [::]: 443 certhash =xxx appid {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    メモ これらのコマンドで、 xxx 新しい証明書の SHA1 証明書ハッシュのプレース ホルダーです。
  11. 「ルーティングとリモート アクセス] サービスによって使用される証明書ハッシュ レジストリ キー オフにします。これを行うには、次の手順を実行します。

    警告 重大な問題、レジストリが誤ってをレジストリ エディターを使用して、または別の方法を使用して変更すると発生します。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証できません。お客様の責任においてレジストリを変更します。
    1. クリックしてください。 開始、タイプ レジストリ エディター で、 検索を開始します。 ボックスとクリック regedit.exe で、 プログラム リストです。
    2. 見つけて、次のレジストリ サブキー] をクリックします。
      HKLM\System\CurrentControlSet\Services\Sstpsvc\Parameters\
    3. 詳細ペインで、右クリックし、 Sha256CertificateHash クリックし、 変更.
    4. で、 [値のデータ ボックスの種類 0、し [OK].
    5. レジストリ エディターを終了します。
  12. [ルーティングとリモート アクセス」サービスを再起動します。[ルーティングとリモート アクセス」サービス HTTP.sys 内の証明書を読み込んで、その暗号バインディング検証を適切な証明書のハッシュを設定します。

プロパティ

文書番号: 947027 - 最終更新日: 2011年8月10日 - リビジョン: 3.0
キーワード:?
kbhowto kbregistry kbexpertiseadvanced kbmt KB947027 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:947027
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com